[レポート] ソニーミュージックグループのセキュリティの取り組み ~SMEJ Guardrail~ – AWS Security Roadshow Japan 2021 #awscloud #AWSSecurityRoadshow

AWS Security Roadshow Japan 2021で行われた「ソニーミュージックグループのセキュリティの取り組み ~SMEJ Guardrail~」のセッションレポートです
2021.11.12

AWS Security Roadshow Japan 2021 の下記セッションのレポートです。

ソニーミュージックグループのセキュリティの取り組み ~SMEJ Guardrail~

ソニーミュージックグループでは BtoC メインで web サイトが 700 以上あり、ほぼ AWS で動いています。アカウント数も増加の一途をたどり、早急なセキュリティ確保が必要でした。その為に AWS Security Hub を中心としたセキュリティポリシー・施策を SMEJ Guardrail と命名し、設定の自動修復機能やSIEMを構築してきました。仕組みと工夫と苦労についてお話しします。

株式会社ソニー・ミュージックエンタテインメント リスクマネジメントグループ 情報セキュリティ部 プロデューサー 田代 雄亮 氏

レポート

  • 登壇者の田代 雄亮さんはソニーミュージックグループ(以下、SMEJ)全体のセキュリティ確保を行っている方
  • SMEJの状況
    • グループ会社:約20社
    • 管理ドメイン数:1200以上
    • Webサイト数:650以上
    • AWSアカウント数:190以上
  • 組織によりセキュリティ対策にはばらつきがあり、一定のセキュリティを全アカウントに展開することが課題だった
    • SMEJ Guardrail というガードレールポリシーを社内で整備した
    • 社内向けのガードレール展開の案内文ではビジネスの流れを止めるものではないことを記載

SMEJ Guardrail について

  • Codeシリーズ、CDK Deploy等を利用して構築
  • 分析や通知は WAFログ分析、セキュリティログ分析を実施
    • OpenSearch, kibana を利用して分析
    • 調査にはDetectiveを活用
  • ガバナンス対象のアカウント数は163アカウント
    • 対象アカウント全てで GuardDuty, Security Hub, Inspector, Detective, CloudTrail を有効化
    • Security Admin アカウントに情報を集約
    • Security Hub の結果を基に自動修復も適用
  • まずはOrganizationsによるアカウント整備から行った
  • はじめはSecurity Hub のセキュリティスコアが 3% (CIS) のアカウントもあった
    • 現在のセキュリティスコアは 65% (CIS)
  • 徐々に機能(オペレーションの自動化等)を増やして社内展開していった
  • アカウントオーナーからは自分達で細かいドキュメントを読んで対応する必要がないことから感謝の声があった

自動化による省力化・品質向上

  • 自動化によりオペミスが無くなった
  • アカウントの増加に伴う人員の増加が不要
    • 運用当初からコアメンバー4名で対応
    • 始めは本業が別にある有志のメンバで開始
      • 現在も一部メンバは本業が別にある

運用のノウハウをポリシーに昇華

  • Findings 増加→結果分析→フィードバック→ポリシーアップデート→Findings増加→・・・のサイクルでよりセキュアになった
    • さらに設計指南書の作成を作成した
    • AWSプロフェッショナルサービスを利用

事故対応

  • EC2.8対応によりIMDSv2を使用したところ、Webサイト障害が発生
    • 全リージョン、全アカウントのEC2.8対応をロールバック
    • 全2500環境のロールバックが30分程度で完了できた
  • 不正アクセスが発生
    • AWS TAMから不正アクセスの連絡があり、事象の収束・ログ調査を開始
    • CloudTrail の調査などにより不正アクセスの調査完了
      • ログを集約していたためアカウントオーナーを介することなく素早く調査できた

AWSのサポート

  • SMEJ Guardrailアナウンス(Enterprise Support定例)(毎月)
    • 新サービスの紹介など
    • AWS TAM/コンシェルジュ/営業/SAと連携
  • オフィスアワー(毎週)
    • アカウントオーナーからAWSへの相談会
  • AWSセキュリティ定例会(毎週)
    • AWS セキュリティスペシャリストと Findings のレビュー
    • 対応方針を相談
  • EBS(毎年)
    • エグゼクティブからのAWSへのリクエスト(改善要望など)

まとめ

  • 可視化してショックを受けることが重要
  • 走りながらポリシーを整備するほうが結果的に早い
  • PoCフェーズで自動化の仕組みを作ると、枠組みが大きくなっても対応可能
  • Findingsを増やす人と減らす人は別人が望ましい
  • AWSに可能な限りさぽーとしてもらう

感想

ガードレールの展開がビジネスの流れを止めるものではないことを社内で伝えていることやアカウントオーナーから感謝の言葉があることから、社内へのセキュリティ展開がWin-Winな関係になっているのではないかと感じました。見習いたいです。